调查表明广告软件推送恶意软件感染了六万多个安卓应用程序

网络安全服务商Bitdefender公司日前发现了一个隐藏的调查恶意软件 ，该软件在全球各地的表明移动设备上未被发现已经超过六个月，该软件旨在向Android设备推送广告软件  ，广告感染个安以提高营收 。软件软件

Bitdefender公司在一篇博客中表示：“然而，推送涉及的恶意威胁行为者可以很容易地转换策略，将用户重定向到其他类型的用程恶意软件
，例如窃取凭证和财务信息的调查银行木马或勒索软件 。”

到目前为止 ，表明该公司已经发现了6万多个感染了这种广告软件的广告感染个安安卓应用程序，并怀疑感染了更多的高防服务器软件软件应用程序。该恶意软件至少从2022年10月开始就存在了，推送它的恶意目标用户来自美国、韩国
、用程巴西 、调查德国
、英国和法国。

Bitdefender公司表
：“由于发现了大量独特的样本 ，因此这一操作很可能是全自动的。”

恶意软件的分发和传播

威胁行为者使用第三方应用程序分发和传播恶意软件，因为它不在任何官方商店中 。源码下载

Bitdefender表示  ：“然而，恶意软件的运营商仍然需要说服用户下载并安装第三方应用程序，因此他们将威胁伪装成在官方商店找不到的热销产品 。”

在某些情况下 ，这些应用程序只是模仿在PlayStore中发布的真实应用程序。被恶意软件模仿的一些类型的应用程序包括游戏破解、具有解锁功能的游戏、免费VPN 、虚假教程、服务器租用没有广告的YouTube/TikTok 、破解的实用程序 、PDF查看器 ，甚至是虚假的安全程序。

Bitdefender表示:“这种分发和传播是随机的 ，当搜索这类应用程序
、mod
、漏洞等时，恶意软件就会出现。”他补充说 ，源码库mod应用程序是一种热门商品  ，许多网站都专门提供这类软件包。

通常情况下，mod应用程序是对原始应用程序的修改，其全部功能解锁或对初始编程进行更改
。当用户通过谷歌搜索下载mod应用程序的网站时 ，他们会被重定向到一个随机的广告页面。有时，该页面是恶意软件的下载页面，亿华云伪装成用户正在搜索的mod的合法下载页面
。

逃避检测六个月的时间

带有恶意软件的应用程序在安装时就像普通的安卓应用程序一样
，并提示用户在安装后点击“打开” 。然而，恶意软件不会将自己配置为自动运行，因为这可能需要额外的权限。

谷歌公司取消了在Android平台上注册启动器后隐藏应用图标的功能。但是
，模板下载这只适用于注册了启动器的情况。Bitdefender公司表示:“为了规避这个问题 ，该应用程序并不注册任何启动程序 ，而是依赖于用户和默认的Android安装行为实施首次运行 。”

一旦安装，恶意软件就会显示一条“应用程序不可用”的信息，以欺骗用户 ，使其认为恶意软件从未安装过 。

Bitdefender公司在博客中表示：“它的启动器中没有图标，标签中有UTF-8字符，这使得发现和卸载它变得更加困难 。它将始终位于列表的末尾 ，这意味着用户不太可能找到它 。”

一旦启动，该应用程序将与网络攻击者的服务器进行通信，并检索广告的网址，以在移动浏览器中显示或作为全屏WebView广告 。

Android设备越来越多地成为恶意软件的目标

Android设备正日益成为黑客攻击的目标 。上个月，网络安全服务商Doctor Web公司发现了一个带有间谍软件功能的Android软件模块SpinOk
。

该恶意软件收集存储在设备上的文件信息 ，并将其传输给恶意行为者。它还可以替换剪贴板内容并将其上传到远程服务器 。包含SpinOk模块和间谍软件功能的Android应用程序安装总人数超过4.21亿次 。

CloudSek公司发现了另外101个被SpinOK Android恶意软件感染的应用程序 ，这些恶意软件是作为广告SDK分发的。其中有43款应用程序仍然活跃在PlayStore上
，其中一些下载量超过500万次 。总的来说，估计有3000万用户会受到这些额外应用程序的影响。